Bro Tool คืออะไร
ในอดีตเรียกว่า Bro หรือ Zeek ซึ่งเป็นเฟรมเวิร์กซอฟต์แวร์โอเพนซอร์ซที่ออกแบบมาเพื่อวิเคราะห์ปริมาณการใช้เครือข่าย ซึ่งมักใช้เพื่อตรวจจับความผิดปกติทางพฤติกรรมบนเครือข่ายเพื่อปกป้องเครือข่ายและข้อมูลจากการฉ้อโกง
การตรวจสอบความปลอดภัยของเครือข่ายทำอะไรได้บ้าง
วัตถุประสงค์ของการตรวจสอบความปลอดภัยเครือข่ายคือการรวบรวม วิเคราะห์ และยกระดับการบ่งชี้และคำเตือนเกี่ยวกับการบุกรุกเครือข่ายที่เป็นไปได้ เพื่อให้คุณสามารถตรวจจับและเตรียมพร้อมสำหรับสิ่งเหล่านี้ การตรวจสอบความปลอดภัยของเครือข่ายโดยทั่วไปจะมีคุณสมบัติดังต่อไปนี้ การสืบค้นข้อมูลความปลอดภัยและ/หรือการค้นหาพฤติกรรมที่น่าสงสัยด้วยการค้นหาเครือข่ายอย่างจริงจัง
Zeek Bro ทำงานอย่างไร
Bro คอลเลกชั่นเครื่องมือที่ Vern Paxson แห่ง Corelight รวบรวมมาเป็นเวลากว่า 20 ปี ได้รับการพัฒนาในปี 1995 ด้วย Zeek คุณสามารถตรวจสอบข้อมูลที่หลากหลายแบบเรียลไทม์บนโปรโตคอล 35 ตัว เพราะมันดึงข้อมูลได้มากกว่า 400 รายการ เขตข้อมูลจากการรับส่งข้อมูลเครือข่าย มีโปรโตคอลมากมายที่เลเยอร์ 3 ถึง 7 รวมถึง HTTP, DNS, SSL เป็นต้น
Bro เป็น IDS หรือ IPS หรือไม่
IDS ตามลายเซ็นและความผิดปกติสามารถเรียกได้ว่า Bro ในทางใดทางหนึ่ง ทราฟฟิกที่ระบบดักจับจะถูกแปลงเป็นชุดของเหตุการณ์โดยเครื่องมือวิเคราะห์ ข้อมูลกิจกรรมประกอบด้วยข้อมูลเกี่ยวกับการเข้าสู่ระบบเซิร์ฟเวอร์ FTP การเชื่อมต่อกับเว็บไซต์ หรือเกือบทุกอย่าง
ทำไม Bro ถึงเปลี่ยนเป็น Zeek
น่าเศร้าที่หลายปีที่ผ่านมาได้เห็นการเปลี่ยนแปลงในการใช้คำว่า Bro Zeek ได้รับชื่อใหม่ โลโก้ได้รับแรงบันดาลใจจากการใช้ตัวละคร Zeek ของ Gary Larson ในการ์ตูนหลายเรื่องใน 'The Far Side' ความรักของบริษัทที่มีต่อชื่อที่แหวกแนวและเฉียบขาดสำหรับโครงการโอเพนซอร์ซก็มีส่วนช่วยในการสร้างโลโก้ Zeek ด้วยเช่นกัน
Zeek เป็น SIEM หรือไม่
โดยจะตีความสิ่งที่เห็นและสร้างความแม่นยำสูง บันทึกธุรกรรม เนื้อหาไฟล์ และเอาต์พุตที่กำหนดเองได้อย่างเต็มที่ ซึ่งสามารถตรวจสอบหรือนำเข้าด้วยตนเองไปยังเครื่องมือที่เป็นมิตรกับนักวิเคราะห์ เช่น ระบบ SIEM เพื่อการวิเคราะห์ที่มีประสิทธิภาพยิ่งขึ้น
Suricata ใช้ทำอะไร
เป็นเอ็นจิ้นการตรวจจับภัยคุกคามเครือข่ายโอเพนซอร์ซที่สามารถใช้สำหรับการตรวจจับการบุกรุก (IDS) การป้องกันการบุกรุก (IPS) และการตรวจสอบความปลอดภัยเครือข่าย (NSM) สามารถตรวจสอบแพ็คเก็ตในเชิงลึกและจับคู่รูปแบบได้ดีอย่างไม่น่าเชื่อ ทำให้เป็นเครื่องมือที่มีประโยชน์อย่างเหลือเชื่อสำหรับการตรวจจับภัยคุกคามและการโจมตี
Zeek เป็น NetFlow หรือไม่
Zeeek ถือได้ว่าเป็น "NetFlow บนสเตียรอยด์" โดยขยายเพื่อรองรับโปรโตคอลหลายสิบรายการและมีฟิลด์ข้อมูลหลายร้อยคอลัมน์
IDS เหมือนกับ IPS หรือไม่
IPS และ IDS แตกต่างกันในฟังก์ชันการตรวจสอบเป็นหลัก แต่ไม่ได้อยู่ในฟังก์ชันควบคุม ระบบการจัดส่งทางอินเทอร์เน็ตไม่ได้เปลี่ยนแปลงแพ็กเก็ตในทางใดทางหนึ่ง ในทางกลับกัน ตัวกรองเนื้อหาอินเทอร์เน็ตป้องกันไม่ให้ส่งแพ็กเก็ตตามสิ่งที่อยู่ในแพ็กเก็ต เหมือนกับไฟร์วอลล์บล็อกการรับส่งข้อมูลตามที่อยู่ IP
Snort เป็น IDS หรือ IPS หรือไม่
นอกเหนือจากการวิเคราะห์การรับส่งข้อมูลเครือข่ายแบบเรียลไทม์และการบันทึกแพ็กเก็ตข้อมูลแล้ว SNORT ยังเป็นระบบตรวจจับการบุกรุก (IDS) และระบบป้องกันการบุกรุก (IPS) ที่ใช้รหัส Snort แบบโอเพนซอร์ส
ระบบ Bro คืออะไร
เอกสารของเราอธิบาย Bro ซึ่งเป็นเทคโนโลยีแบบสแตนด์อโลนสำหรับการตรวจจับผู้บุกรุกเครือข่ายเมื่ออยู่ในเครือข่ายโดยการตรวจสอบการรับส่งข้อมูลที่พวกเขากำลังส่งผ่านลิงก์เครือข่ายที่ควบคุมโดยผู้บุกรุก การอัปเดตข้อมูลสถานะ การสังเคราะห์เหตุการณ์ใหม่ การบันทึกข้อมูลลงดิสก์ และการสร้างการแจ้งเตือนแบบเรียลไทม์สามารถทำได้โดยตัวจัดการเหตุการณ์